Microsoft Office im Visier mehrerer Malware-Familien
Die Verbreitung des neu entdeckten Loaders erfolgt vorwiegend per E-Mail. Es handelte sich dabei in der Regel um vermeintliche Aufträge, Rechnungsnummern, Produktlisten, Vertragsunterlagen oder andere Dokumente.
Ein neu entdeckter Loader für Microsoft Office verwendet gefährliche Makros, um mit deren Hilfe mehrere Malware-Familien zu verbreiten. Der Loader wurde von Experten des IT-Sicherheitsanbieters Palo Alto Networks in über 650 unterschiedlichen Samples identifiziert. Mit ihnen wurden in unterschiedlichen Branchen bereits über 12.000 Angriffe auf Firmen durchgeführt. Am häufigsten waren High-Tech-Unternehmen, Dienstleister, Rechtsanwaltskanzleien und Behörden betroffen.
Bei den E-Mails handelte es sich meist um vermeintliche Aufträge, Rechnungsnummern, Produktlisten, Vertragsunterlagen oder andere Dokumente, denen der Empfänger eine Geschäftsrelevanz unterstellt. Unklar ist noch, ob die Angreifer es auf bestimmte Informationen aus den angegriffenen Firmen abgesehen haben, oder ob sie sich lediglich auf diese Bereiche spezialisiert haben, weil dort die Akzeptanz für derartige Anhänge durch das allgemeine Geschäftsgebaren hoch ist und sie festgestellt haben, dass in diesen Bereichen Makros vergleichsweise häufig verwendet werden.
Angesichts der großen Menge einfach verfügbarer Malware-Familien sowie deren Verbreitung im großen Stil, nimmt Palo Alto Networks aber an, dass die Hintermänner nicht ausgewählte Firmen oder Organisationen angreifen, sondern in erster Linie großflächige Kampagnen fahren. Zu den dabei verwendeten Malware-Familien gehören LuminosityLink, KeyBase, PredatorPain, Ancalog, Bartallex, Pony und DarkComet (PDF)
Die Untersuchung der in allen Samples verwendeten Makros zeigte, dass fast immer dieselbe Technik verwendet wurde. Laut Palo Alto Networks wurden alle Makros mit einer großen Menge an Datenmüll-Code und höchstwahrscheinlich mit einem sogenannten Builder zufällig ausgewählten und generierten Variablen verschleiert.
Besonderheit sei es, dass die Angreifer einen sogenannten UAC-Bypass anlegen, also die Benutzerkontensteuerung umgehen. Eine Liste aller Indikatoren, die auf eine Kompromittierung hinwiesen, Zeitstempel, SHA256 Hashes, Download-URLs und Dateinamen steht Administratoren und Sicherheitsverantwortlichen bei Github zur Verfügung.
Erst kürzlich hatte der Anbieter Objective See vor einem infizierten Word-Dokument gewarnt, über das Mac-Malware verbreitet wird. Allerdings halten diese Angriffsmethode ebenso wie viele andere, auf Makros basierende, Experten für nicht besonders ausgereift. Dass sie dennoch immer wieder angewandt werden, deutet aber darauf hin, dass die Angreifer damit zumindest ausreichend erfolgreich sind, obwohl Makro-Viren schon fast 20 Jahre alt und die Abwehr relativ einfach ist. Ein Beispiel dafür ist die Verbreitung der Ransomware Locky über mit Makros präparierte, vermeintliche Rechnungen vor knapp einem Jahr, die damals schwerpunktmäßig in Deutschland erfolgte.
Einer der bekanntesten Makro-Viren ist der 1999 Virus “Melissa“. Angreifer nutzten damals Visual Basic for Applications (VBA), daher werden derartige Viren auch als VBA-Viren bezeichnet. Sie wurden in Office-Dokumente eingebettet und übernahmen in Word Applikationsfunktionen wie “Auto Open”. Das führte etwa dazu, dass sich zahllose Word-Dokumente automatisch öffneten, was den Rechner überforderte und abstürzen ließ. Außerdem konnten sich VBA-Viren in Office-Template-Dateien verbergen und von dort aus in künftig bearbeitete Dokumente kopieren.
Aufgrund verbesserter Sicherheitsfunktionen der Microsoft-Office-Produkte ging die Anzahl der Makro-Malware allerdings um die Jahrtausendwende nahezu auf null zurück. Seit gut zwei Jahren scheinen sie allerdings eine Art Comeback zu feiern. Im Dezember warnte die Polizei auch in Deutschland Personalabteilungen vor dem Makro-Virus Goldeneye, der über Anhänge in vermeintlichen Bewerbungsschreiben verbreitet wurde. Und bereits im Oktober 2016 hatte Symantec auf den Banking-Trojaner Odinaff hingewiesen. Er wird über passwortgeschützte RAR-Archive und Word-Dokumente mit Makros verbreitet.
Dass Makros zur Verbreitung von Malware auch raffiniert eingesetzt werden können, belegte 2015 die Malware Maldoc. Auc sie wurde über als Anhang von E-Mails verbreitet. Öffnete der Nutzer den Anhang, wurde er aufgefordert, ein Makro zu aktivieren, das erst beim Schließen des Dokuments einen Malware-Download anstieß. So gelang es ihr, eine eventuell vorhandene Sicherheitssoftware mit Sandbox zu überlisten.
Gegenmaßnahmen von Microsoft
Im Frühjahr 2016 hatte Microsoft aufgrund der “Renaissance” von Makro-basierender Malware Office 2016 um eine Funktion zur Abwehr von Makro-Malware ergänzt. Damit können Administratoren Regeln festlegen, mit denen Makros je nach aktuellem Szenario blockiert werden. Damit lässt sich auch die Aktivierung von Makros durch Anwender in vorher definierten Risikosituationen unterbinden. Ein Beispiel dafür ist der Download von Dokumenten aus dem Internet.
Makros lassen sich in den Gruppenrichtlinien von Office 2016 für Dokumente aus Cloud-Diensten wie Microsoft OneDrive, Google Drive und Dropbox sperren. Bei Outlook und Exchange können Administratoren zudem Makros in angehängten Dokumenten blockieren, wenn die von externen Adressen stammen. Außerdem haben Administratoren die Möglichkeit, Makros für Dokumente aus öffentlichen Quellen wie Filesharing-Websites zu unterbinden.
Office-Nutzer können bei aktiver Makrosperre die Sandbox “Geschützte Ansicht” beim Öffnen eines Word-Dokuments in Outlook nicht verlassen. Makros sind in diesem Modus standardmäßig deaktiviert. Versucht ein unvorsichtiger Anwender, den Anweisungen eines Angreifers zu folgen und den Sandbox-Modus zu verlassen, wird ihm ein Warnhinweis oberhalb des Dokuments angezeigt. Darin wird erklärt, dass der Administrator Makros in diesem Dokument aus Sicherheitsgründen deaktiviert hat. Zudem wird der Nutzer daran gehindert, die “Geschütze Ansicht” zu verlassen
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.